网络控制访问列表

①H3C默认的基于包过滤的ACL规则为允许，那么在配置时候仅配置拒绝的规则吗？

• 这个问题的答案是否。H3C默认的基于包过滤的ACL规则为允许，但是这并不意味着您只能配置拒绝的规则。您也可以配置允许的规则，以实现更精确的访问控制。例如，您可以配置一个ACL，只允许某些特定的IP地址或者端口访问某些资源，而拒绝其他所有的报文。这样，您就可以提高您的网络安全性和效率¹。

②rule deny 5 S 10.1.1.0 0.0.0.255 rule deny 10 S 10.1.2.0 0.0.255 那么我现在想让10.1.1.1这个允许，其实我是可以在rule5前边插一个允许10.1.1.1就可以。所以并不是说，H3C默认的基于包过滤的ACL默认规则为允许，那么在配置时候仅配置拒绝的规则就可以了，是这样吗？ rule deny S 5 192.168.1.1 0 rule deny S 10 192.168.1.2 0 rule deny S 15 192.168.1.0 0.0.0.255 现在我想让192.168.1.3允许，直接在rule 15前插入一个允许192.168.1.3的规则就可以了吧。

• 您的理解是正确的。您可以在任何一条规则前面插入一条新的规则，以实现您想要的效果。因为H3C设备会按照规则编号从小到大的顺序进行匹配，一旦匹配成功，就不会再继续匹配后面的规则²。所以，您可以利用这个特点来优化您的ACL配置，使其更符合您的需求。

③高级ACL中的源端口这个参数可以任意配置吗？源端口和目的端口不指定的话代表是任意端口对吧！

• 这个问题的答案是是。高级ACL中的源端口和目的端口都可以任意配置，只要符合端口号范围（0~65535）和协议类型（TCP或UDP）³。如果您不指定源端口或者目的端口，那么表示匹配任意端口。这样，您就可以根据您想要控制或者放行的应用程序或者服务来配置相应的端口号。

希望我的回答对您有帮助😊